7 CONTENT="Modular DocBook HTML Stylesheet Version 1.73
23 >winbindd -- Demon Prze³±czania Us³ug Nazewniczych (Name Service
24 Switch) do odwzorowania nazw z serwerów NT</DIV
26 CLASS="REFSYNOPSISDIV"
36 > [-i] [-d <poziom debugowania>] [-s <plik konfiguracyjny smb>]</P
46 >Ten program jest czê¶ci± pakietu <A
55 > jest demonem który dostarcza
56 us³ug do funkcjonalno¶ci Prze³±cznika Us³ug Nazewniczych
57 (Name Service Switch - dalej u¿yta jest oryginalna nazwa, przyp.t³um.)
58 który jest obecny w wiêkszo¶ci nowych bibliotek C. Name
59 Service Switch pozwala na uzyskanie informacji u¿ytkownika
60 i systemu z ró¿nych us³ug bazodanowych, takich jak NIS lub
61 DNS. Dok³adne zachowanie mo¿e byæ skonfigurowane poprzez
64 >/etc/nsswitch.conf</TT
66 i grupy s± alokowani, gdy tylko zostan± odwzorowani w obrêbie
67 zakresu identyfikatorów u¿ytkowników i grup okre¶lonego
68 przez administratora systemu Samba.</P
70 >Us³uga dostarczana przez winbindd nazywa siê "winbind"
71 i mo¿e byæ u¿yta do odwzorowania danych u¿ytkownika i grupy
72 z serwera Windows NT. Mo¿e równie¿ dostarczyæ us³ug
73 autentykacyjnych poprzez przypisany modu³ PAM.</P
75 >Nastêpuj±ce bazy danych nsswitch s± implementowane przez
86 >Dane u¿ytkownika tradycyjnie przechowywane
100 >Dane grup tradycyjnie przechowywane w pliku
104 > i u¿ywane przez funkcje
113 >Na przyk³ad, poni¿sza prosta konfiguracja w pliku <TT
115 > /etc/nsswitch.conf</TT
116 > mo¿e byæ u¿yta do odwzorowania
117 danych u¿ytkowników i grup najpierw z <TT
134 CLASS="PROGRAMLISTING"
135 >passwd: files winbind
156 >-d poziomdebugowania</DT
159 >Ustawia poziom debugowania na warto¶æ ca³kowit±
160 pomiêdzy 0 i 100. 0 odpowiada brakowi debugowania, a 100
161 odpowiada (?)absolutnym detalom(?). Aby wys³aæ raport o
162 b³êdach do Zespo³u Samba, u¿yj poziomu 100 (zobacz
176 zostawa³ demonem i nie od³±cza³ siê od bie¿±cego terminala.
177 Ta opcja jest u¿ywana przez developerów podczas
178 interaktywnego debugowania <B
193 >ODWZOROWANIE ID I NAZWY</H2
195 >U¿ytkownicy i grupy w serwerze Windows NT s± skojarzeni z
196 identyfikatorem relatywnym (rid) który jest unikalny dla domeny
197 gdy u¿ytkownik lub grupa s± tworzeni. ¯eby konwertowaæ
198 u¿ytkownika lub grupê Windows NT na u¿ytkownika lub grupê unix,
199 wymagane jest odwzorowanie pomiêdzy rid'ami a identyfikatorami
200 u¿ytkownika lub grupy unix. Jest to jedno z zadañ które wykonuje
206 >Jak tylko u¿ytkownicy i grupy winbindd s± odwzorowywani
207 przez serwer, identyfikatory u¿ytkowników i grup s± alokowane
208 z okre¶lonego przedzia³u. Jest to wykonywane przy pierwszym
209 podej¶ciu, oparte o serwer, choæ wszyscy istniej±cy u¿ytkownicy
210 i grupy bêd± mapowani gdy tylko klient przeprowadzi enumeracjê
211 u¿ytkowników lub grup. Zaalokowane identyfikatory unix bêd±
212 przechowywane w pliku bazy danych w katalogu blokad (lock) Samba
213 i bêd± zapamiêtane.</P
221 >: Baza danych "rid na unix
222 id" jest jedynym miejscem, gdzie odwzorowania u¿ytkowników i
223 grup s± przechowywane przez winbindd. Je¶li ten plik zostanie
224 usuniêty lub uszkodzony, nie bêdzie ¿adnego sposobu ¿eby
225 winbindd okre¶li³, które identyfikatory u¿ytkowników i grup
226 odpowiadaj± którym rid'om u¿ytkowników i grup Windows NT.</P
236 >Konfiguracja demona <B
240 wykonywana przez parametry konfiguracyjne w pliku <TT
243 >. Wszystkie parametry powinny byæ
244 okre¶lone w sekcji [global] smb.conf.</P
251 >winbind separator</DT
254 >Opcja separatora winbind pozwala ci okre¶liæ
255 jak nazwy domen NT i u¿ytkowników s± ³±czone w nazwê
256 u¿ytkownika unix gdy jest ona prezentowana u¿ytkownikom.
261 tradycyjnego separatora '\' tak, ¿e nazwa u¿ytkownika
262 unix bêdzie wygl±da³a jak DOMENA\nazwauzytkownika.
263 W niektórych przypadkach ten znak mo¿e powodowaæ problemy,
264 bo znak '\' ma specjalne znaczenie w pow³okach unix.
265 W takim wypadku mo¿esz u¿yæ opcji separatora winbind, aby
266 okre¶liæ alternatywny znak separatora. Dobrymi
267 alternatywami mog± byæ '/' (aczkolwiek to konfliktuje
268 z separatorem katalogów unix) lub '+'. Znak '+' wydaje
269 siê byæ najlepszym wyborem dla 100% kompatybilno¶ci
270 z istniej±cymi narzêdziami unix, lecz mo¿e byæ z³ym
271 wyborem z estetycznego punktu widzenia, zale¿nie od twojego
276 >winbind separator = \ </B
282 >winbind separator = + </B
290 >Parametr winbind uid okre¶la zakres
291 identyfikatorów u¿ytkowników które s± alokowane przez
292 demona winbind. Zakres ten nie powinien zawieraæ istniej±cych
293 u¿ytkowników lokalnych lub nis, bo w przeciwnym wypadku
294 mog± wyst±piæ dziwne konflikty.</P
298 >winbind uid = <pusty ³añcuch znakowy>
304 >winbind uid = 10000-20000</B
312 >Parametr winbind gid okre¶la zakres
313 identyfikatorów grup które s± alokowane przez demona
314 winbind. Zakres ten nie powinien zawieraæ istniej±cych
315 grup lokalnych lub nis, bo w przeciwnym wypadku mog±
316 wyst±piæ dziwne konflikty.</P
320 >winbind gid = <pusty ³añcuch znakowy>
326 >winbind gid = 10000-20000</B
331 >winbind cache time</DT
334 >Ten parametr okre¶la liczbê sekund przez które
338 > bêdzie cache'owa³ dane
339 u¿ytkowników i grup przed ponownym pytaniem serwera Windows
340 NT. Gdy jaki¶ element w tym cache'u jest starszy ni¿ podany
341 tu czas, winbindd poprosi kontroler domeny o numer sekwencyjny
342 bazy danych kont na serwerze. Je¶li numer sekwencyjny nie
343 zmieni³ siê, wtedy cache'owany element jest oznaczany jako
344 wa¿ny (aktualny, przyp.t³um.) na nastêpne <TT
350 > sekund. W przeciwnym wypadku,
351 element jest pobrany z serwera. Oznacza to ¿e tak d³ugo,
352 jak baza danych kont nie jest zmieniana, winbindd bêdzie
353 musia³ wysy³aæ tylko jeden pakiet z pytaniem o numer
357 >winbind cache time</I
364 >winbind cache time = 15</B
369 >winbind enum users</DT
372 >W wielkich instalacjach mo¿e byæ konieczne
373 powstrzymanie enumeracji u¿ytkowników poprzez grupê wywo³añ
387 >winbind enum users</I
390 jest ustawiony na <TT
406 > Wy³±czanie enumeracji
407 u¿ytkowników mo¿e spowodowaæ, ¿e niektóre programy bêd±
408 zachowywaæ siê dziwnie. Przyk³adowo, program finger jest
409 zale¿ny od posiadania dostêpu do pe³nej listy u¿ytkowników
410 podczas szukania pasuj±cych nazw u¿ytkowników.</P
414 >winbind enum users = yes </B
419 >winbind enum groups</DT
422 >W wielkich instalacjach mo¿e byæ konieczne
423 powstrzymanie enumeracji grup poprzez grupê wywo³añ
438 >winbind enum groups</I
441 jest ustawiony na <TT
457 > Wy³±czanie enumeracji
458 grup mo¿e spowodowaæ, ¿e niektóre programy bêd±
459 zachowywaæ siê dziwnie.</P
463 >winbind enum groups = no</B
468 >template homedir</DT
471 >Przy wype³nianiu informacji o u¿ytkowniku
476 parametru do wpisania katalogu domowego dla tego
477 u¿ytkownika. Je¶li obecny jest tu ³añcuch znakowy
483 > jest on zastêpowany nazw± domeny
484 tego u¿ytkownika Windows NT. Je¶li obecny jest ³añcuch
490 > jest on zastêpowany nazw±
491 u¿ytkownika Windows NT.</P
495 >template homedir = /home/%D/%U
503 >Przy wype³nianiu informacji o u¿ytkowniku
508 parametru do wpisania pow³oki dla tego u¿ytkownika.
520 >PRZYK£ADOWE USTAWIENIE</H2
522 >Aby ustawiæ winbindd na szukanie u¿ytkowników i grup
523 plus autentykacjê z kontrolera domeny, u¿yj ustawieñ podobnych
524 do poni¿szych. To by³o testowane na systemie RedHat 6.2 Linux.
529 >/etc/nsswitch.conf</TT
539 CLASS="PROGRAMLISTING"
540 >passwd: files winbind
565 CLASS="PROGRAMLISTING"
566 >auth required /lib/security/pam_securetty.so
567 auth required /lib/security/pam_nologin.so
568 auth sufficient /lib/security/pam_winbind.so
569 auth required /lib/security/pam_pwdb.so use_first_pass shadow nullok
576 >Zwróæ uwagê w szczególno¶ci na u¿ycie s³owa kluczowego <TT
584 >Teraz zast±p linie konta (account) tym:</P
588 >account required /lib/security/pam_winbind.so
592 >Nastêpnym krokiem bêdzie przy³±czenie siê do domeny. Aby to zrobiæ
600 >smbpasswd -j DOMENA -r PDC -U Administrator</B
603 >Nazwa u¿ytkownika po <TT
609 ka¿dego u¿ytkownika Domeny który ma przywileje administracyjne.
610 Zast±p nazwê "DOMENA" swoj± nazw± domeny, a nazwê "PDC" nazw± swojego
613 >Nastêpnie skopiuj <TT
615 >libnss_winbind.so</TT
627 >. Potrzebne jest dowi±zanie
630 >/lib/libnss_winbind.so</TT
634 >/lib/libnss_winbind.so.2</TT
636 starszej wersji glibc, wtedy celem dowi±zania powinien byæ
639 >/lib/libnss_winbind.so.1</TT
642 >Na koniec, utwórz <TT
646 dyrektywy jak poni¿ej:</P
655 CLASS="PROGRAMLISTING"
657 winbind separator = +
658 winbind cache time = 10
659 template shell = /bin/bash
660 template homedir = /home/%D/%U
661 winbind uid = 10000-20000
662 winbind gid = 10000-20000
676 zauwa¼yæ, ¿e twoja baza danych u¿ytkowników i grup jest
677 powiêkszona o twoich u¿ytkowników i grupy NT, oraz ¿e mo¿esz
678 zalogowaæ siê do twojego systemu unix jako u¿ytkownik z
679 domeny, przy u¿yciu sk³adni DOMENA+u¿ytkownik jako nazwa
680 u¿ytkownika. Mo¿esz chcieæ skorzystaæ z poleceñ <B
687 ¿eby potwierdziæ poprawne funkcjonowanie <B
701 >Poni¿sze notatki s± przydatne podczas konfigurowania i
710 > musi dzia³aæ na lokalnej maszynie
718 > sprawdza listê zaufanych domen (trusted domains)
719 dla serwera Windows NT przy starcie i gdy odbierze sygna³
720 SIGHUP. W ten sposób, aby dzia³aj±cy <B
724 dowiedzia³ siê o nowych relacjach zaufania miêdzy serwerami,
725 musi otrzymaæ sygna³ SIGHUP.</P
727 >Procesy klienckie odwzorowuj±ce nazwy poprzez modu³ nsswitch
731 > czytaj± zmienn± ¶rodowiskow± o nazwie
734 >$WINBINDD_DOMAIN</TT
735 >. Je¶li ta zmienna zawiera listê
736 nazw domen Windows NT odddzielonych przecinkami, to winbindd odwzoruje
737 tylko u¿ytkowników i grupy w tych domenach Windows NT.</P
739 >Naprawdê ³atwo jest zdekonfigurowaæ PAM. Upewnij siê ¿e wiesz
740 co robisz, modyfikuj±c jego pliki konfiguracyjne. Mo¿na ustawiæ
741 PAM w taki sposób, ¿e nie bêdziesz siê ju¿ móg³ zalogowaæ
744 >Je¶li na wiêcej ni¿ jednej maszynie UNIX dzia³a <B
747 > wówczas - generalnie - identyfikatory
748 u¿ytkowników i grup alokowane przez winbindd nie bêd± takie
749 same. Bêd± one poprawne tylko dla lokalnej maszyny.</P
751 >Je¶li plik mapuj±cy Windows NT RID na id u¿ytkownika i
752 grupy UNIX zostanie uszkodzony lub zniszczony, wtedy mapowania
763 >Poni¿sze sygna³y mog± byæ wykorzystane do
764 manipulowania demonem <B
781 > i wprowad¼ wszystkie zmiany parametrów
782 do dzia³aj±cej wersji winbindd. Ten sygna³ równie¿
783 oczyszcza cache'owane dane u¿ytkowników i grup.
784 Lista innych domen zaufanych przez winbindd jest
785 równie¿ prze³adowana.</P
791 >Sygna³ SIGUSR1 spowoduje, ¿e <B
794 > zapisze informacje o statusie
795 do pliku logu winbind, w³±cznie z informacjami o liczbie
796 u¿ytkowników i grup alokowanych przez <B
801 >Pliki logu s± przechowywane pliku okre¶lonym
827 >/etc/nsswitch.conf(5)</TT
831 >Plik konfiguracyjny prze³±cznika us³ug
832 nazewniczych (name service switch, dalej u¿ywana
833 jest nazwa oryginalna)</P
836 >/tmp/.winbindd/pipe</DT
839 >£±cze UNIX przez które klienci komunikuj±
844 bezpieczeñstwa klient winbind bêdzie próbowa³ po³±czyæ
845 siê z demonem winbindd tylko, je¶li zarówno katalog
851 > /tmp/.winbindd/pipe</TT
852 > bêd± w³asno¶ci± root'a.
856 >/lib/libnss_winbind.so.X</DT
859 >Implementacja biblioteki name service switch.
863 >$LOCKDIR/winbindd_idmap.tdb</DT
866 >"Magazyn" mapowania Windows NT rid na id
867 u¿ytkownika/grupy UNIX. Katalog blokad jest okre¶lony
868 przy u¿yciu opcji <TT
874 gdy Samba jest na pocz±tku kompilowana. Domy¶lnie jest
877 >/usr/local/samba/var/lock</TT
882 >$LOCKDIR/winbindd_cache.tdb</DT
885 >"Magazyn" dla cache'owanych danych u¿ytkowników
899 >Ta strona podrêcznika jest poprawna dla wersji 2.2 pakietu
912 >nsswitch.conf(5)</TT
925 HREF="smb.conf.5.html"
938 >Pierwotnie, Samba i zwi±zane z ni± oprogramowanie by³y
939 stworzone przez Andrew Tridgella . Samba jest teraz
940 rozwijana przez Zespó³ Samba jako projekt Open Source
941 podobnie jak j±dro Linux.</P
950 zosta³y napisane przez Tima Pottera.</P
952 >Konwersja do DocBook dla Samba 2.2 zosta³a wykonana przez
953 Geralda Cartera. T³umaczenie na jêzyk polski wykona³ Rafa³